分析exe:

先看看psapi.dll这个是不是系统dll:系统进程状态支持模块

这里可能是对explorer.exe的监听

动态运行:

每割一段时间会弹框

在dll中发现:


每隔一分钟会弹框一次

用procexp分析explorer.exe,发现是个DLL注入

RESTART这个进程一下,就可以注入的dll删掉了

直接重启电脑也行

说明这个恶意程序是个一次性的